cogito, ergo incognito

22 lépcsős azonosítás - mire jó a megfigyelés

2016. július 04. - gordiuszblog


               feltörték!
       visszafejtették!
ellopták!

Mi lehet az az azonosítási módszer, ami a jelszavakon és a kétfaktoros azonosításon túl biztosítja a biztonságos belépést azokhoz a webes szolgáltatásokhoz, amiken naponta kommunikálunk vagy átutalásokat végzünk el?
Jó lenne egy olyan válasz a kérdésre, ami kényelmes, sőt észrevétlenül végzi el a felhasználó hitelesítését. Azaz nem kell kompakt, USB-s szívritmusmonitort vennie mindenkinek, ami a biometrikus adatai alapján engedélyez hozzáférést.

Jelenleg a jelszó, illetve az SMS vagy applikációba integrált [OnTiPa] második lépcsőfokos hitelesítés érhető el ingyenesen, ez a legelterjedtebb technológia.

azonosítás kontra azonosítás

Viszont van még több mint egy tucat olyan „faktor”, melyek már meglévő metaadatok, amik lemorzsolódnak rólunk az internethasználat során - alkalmasak azonosításra és az egymásra épülő lépcsőfokok hatásos kiegészítései lehetnek a biztonságtudatosságnak.
Csak egészen kicsit kell egy fekete kalapos kreatív bőrébe bújnunk ahhoz, hogy újraértelmezzük a lehetőségeinket. Használja mindenki [morzsázik] a napi böngészés során és a szolgáltatók is példás gondossággal gyűjtögetik ezeket a részinformációkat.
Nekünk újat nem kell tennünk, csak végre lenne haszna a kiterjedt adatgyűjtésnek. A szolgáltatói oldalnak a meglévő adatait kellene csak un. API-kkal [fordító, közvetítő] újraértelmeznie, az interfész kikényszerítése közös érdek lehet és talán indoka az adatgyűjtésnek.

mi alapján lehet minket azonosítani a felhasználónéven, jelszón és a második lépcsőfokon túl?

Az internethasználat során rengeteg járulékos veszteség éri a hétköznapi felhasználókat. Megosztunk tartózkodási helyet, számítógépünkről közlünk információkat és az elsődleges gyűjtögetni valót is elejtjük itt-ott: a böngészés során százak figyelik a tevékenységünket, hogy a legmegfelelőbb, régóta vágyott és keresett termék reklámját villanthassák fel a szabad felületeken.

webkay_robinlinus.png

Például, ha tablet-tel vagy okostelefonnal olvassuk ezt a posztot, „Robin Linus” weboldala megmondja, hogy hogyan tartjuk a készülékünket a kezünkbe. Az un. giroszkóp, azaz a beépített mozgásérzékelő szenzor adatait csípi el egy szkripttel.

Másik példa a már bizonyára ismert böngésző ujjlenyomat szembesítő eszköz, azaz, hogy a háttérben mennyi minden adatunktól szabadíthat meg egy-egy weboldal.

Lássunk pár azonosításra alkalmas összetevőt arra vonatkozóan, hogy milyen állandó és automatikusan monitorozható adatunkból építhető fel olyan profil, mely a többlépcsős azonosításnál hasznosítható lehet, ha az e-mailezőbe vagy az internetbankba szeretnénk biztonságosan belépni.

Tegyük fel, hogy az esetek nagy többségében 1 db. otthoni-, 1 db. munkahelyi számítógépről és 1 db. okoseszközről szoktunk e-mail-t nézni, utalni, kommunikálni.. bejelentkezős szolgáltatást igénybe venni, aminek el lehet lopni a jelszavát.
Ez három profil: háromféle gépi- és háromféle internetkapcsolat profilja. Ezek a, jelen esetben biztonságosnak kikiáltott területek, melyeket azonosítani lehet és az alábbi részinformációk mindegyikének megléte esetén hitelesített helyei annak, hogy ezekről mi magunk kísérlünk meg belépni:

  • a számítógép alapértelmezett nyelve
  • alapértelmezett és telepített betűtípusok a gépen
  • böngésző plugin-ok, ad-on-ok, verziószámaik [Flash, TinEye, IcedTea..]
  • cookie-kat szeretjük-e, engedjük-e és melyik fajtákat
  • GPS alapú helymeghatározás
  • hagyományos IP-cím, egyedi vagy az, amit kiosztott nekünk a szolgáltató
  • helyi gépek esetén geolokáció, nem baj, ha nem pontos, de legalább állandó [ország, város..]
  • időzóna, GMT, CEST
  • internetböngésző típusa, verziója
  • internetcsatlakozás típusa
  • internetszolgáltató neve, host
  • Java-t engedjük-e, szeretjük-e
  • képernyőfelbontás
  • MAC-címünk, a kompjúterben lévő WiFi vagy Ethernet internetcsatlakozó azonosítója
  • mobilos cellainformációk
  • operációs rendszer típusa, verziója.. [User Agent]
  • processzor
  • proxy, dns IP, egyedi vagy az, amit kiosztott nekünk a szolgáltató
  • router adata
  • WebRTC IP-cím
  • [.. valamint egyéb, a témánál nem releváns információk]

panopticlick_thumbprint.png

A fent felsorolt, bármelyik weboldal számára elérhető adatok között vannak teljesen egyediek és olyanok, melyek együttállása esetén vélelmezhető az azonosság.

Ezek után nincs más hátra, mint az alábbi gyakorlat alkalmazása:

Ha a három ismert profilú eszközről/internetkapcsolatról jelentkezünk be az azonosítási technológiát támogató webhelyre, elég a jelszavunk. Ha nem ezekről [lopás, nyaralás], akkor életbe lép a mobilra küldött kérdés, hogy mi akarunk-e belépni [two-factor authentication].
A szolgáltatásba jogosan és felhasználóként belépő gépek azonosítása arra is alkalmas, hogy DDoS támadás alatt, a valós ügyfeleket egy portál ki tudja szűrni és ki tudja szolgálni [pandák].
Ha a három korábban azonosított eszköz valamelyikéről lépünk be valahová, ott a jelszót meg is tudjuk jegyeztetni a böngészővel, így arra sem lesz szükség, ez a legkényelmesebb.

És itt szóba kerül a végpontvédelem. Viszont nem a megszokott módon, az oroszlánok közé hajított Windows-os gépek szempontjából.
A hangsúlyok eltolódnak. Ha elmentjük jelszavainkat a böngészőbe, és lényegében az eszközünk maga is egy kulcs lesz, akkor fokozottan védekeznünk kell az illetéktelen hozzáférés ellen [PIN, belépési jelszó magába a számítógépbe, titkosított merevlemez, ajtózár, pincsi]. A banki jelszavainkat ebben az esetben sem érdemes elmenteni, de az összes többi szolgáltatás törése, tulajdonképpen lényegtelen események visszafordítható sorozatát tudja csak elindítani.

Egy webes szolgáltatásba történő biztonságos belépést idővel talán még az alábbi technológiák költséghatékonnyá válása és elterjedése is támogathatja:

  • ujjlenyomat-olvasóval ellátott egér, lassan filléres összetevő és az ár magasan tartásánál költségesebb lehet az avulási veszteség és a raktározás
  • token, nehéz tömegesen ellopni
  • szignatúra alapú fájl azonosítás, a személyi számítógépen egy [nagy méretű] állomány a kulcsa a belépésnek, melyet meglétére, elérési útvonalára és hash-értékére támaszkodva ítél meg a webes szolgáltatás, ez az antivírus programok egyik működési metódusának fordítottja.

Végezetül, továbbra is hasznos egy erős jelszó, mely nem követ mintákat. A jó jelszó olyan, amit nem tudunk megjegyezni. Elég, ha annyit tudunk róla - például a Balatonon, ha nagy szükségünk lenne rá véletlenségből -, hogy a Kalevala 1812. sora, a szóközök helyett nullákkal..

A bejegyzés trackback címe:

http://gordiusz.blog.hu/api/trackback/id/tr538864520

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben.

Nincsenek hozzászólások.